In diesem Beitrag erklären wir Ihnen, wie Sie RDP-Dateien in Ihrer Domäne signieren können. Dies ist seit dem Patch KB5083769 von Microsoft erforderlich für vertrauenswürdige RDP-Dateien.
Zertifikat erhalten
Für das Signieren von RDP-Dateien ist ein Code-Signing Zertifikat erforderlich. Sie können dies über die Domäne selbst erstellen, entweder über self-signed oder über Active Directory Dienste z.B. ADCS.
Die Erstellung bzw. Anforderung von Zertifikaten in Ihrer Domäne fällt in Ihren Zuständigkeitsbereich.
Hier ist wichtig, dass das Zertifikat am lokalen Computer als vertrauenswürdig gilt.
RDP-Dateien signieren
Nachdem Sie das Zertifikat erstellt haben und dieses auf Ihrem Computer gültig ist, benötigen Sie für das Signieren der RDP-Datei den Certificate-Thumbprint. Mit diesem Befehl signieren Sie eine RDP-Datei:
rdpsign.exe /sha256 <Thumbprint> <Pfad der RDP-Datei>Nachfolgend ein Beispiel für das Signieren mehrerer RDP-Dateien:
rdpsign.exe /sha256 <Thumbprint> <Pfad der ersten RDP-Datei> <Pfad der zweiten RDP-Datei>Für weitere Syntax-Informationen prüfen Sie die Microsoft Learn Dokumentation über rdpsign.
Gruppenrichtlinien
Damit das bereits gültige Zertifikat von der mstsc.exe als gültig gesehen wird, müssen Sie in Ihrer Gruppenrichtlinie den Thumbprint unter nachfolgendem Pfad hinzufügen. Falls Sie mehrere Thumbprints haben, müssen diese mit Komma getrennt werden.
Pfad (deutsch):
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktopverbindungs-Client
Die Einstellung heißt „SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen„.
Pfad (englisch):
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client
Specify SHA1 thumbprints of certificates representing trusted .rdp publishers
